技術的な説明
depthfirstが運用する自律型AIセキュリティエージェントがFFmpegの150万行のCコード内で21個の確認済みゼロデイ脆弱性を発見。大多数はパーサーおよびデマルチプレクサ内のヒープおよびスタックオーバーフロー(TSデマルチプレクサ、VP9デコーダー、H.264パーサー、RTSPハンドラー、サービス記述テーブルコード)。サービス記述テーブルコード内のスタックオーバーフローは2003年にさかのぼる — 23年間コードベースに存在。DepthfirstはFFmpegが特定のRTSPストリームを処理する際のリモートコード実行プリミティブを実証するProof-of-Conceptを公開。
攻撃経路
リモート:攻撃者が脆弱なFFmpegパーサー/デマルチプレクサをターゲットとした悪意あるRTSPストリームまたはメディアファイルを作成。FFmpegはほぼすべてのメディア処理パイプライン、ストリーミングサーバー、ビデオ編集ソフトウェア、コンテナ、およびデバイスに組み込まれている — 攻撃対象面は非常に広い。PoCは公開利用可能。
影響を受けるシステム
パッチ適用済みコミット前のFFmpegバージョン(ffmpeg.orgセキュリティページを参照)。FFmpegをメディア解析に組み込むあらゆるアプリケーション — ストリーミングサービス、CDNエッジノード、ビデオ会議、メディアプレイヤー、コンテナ、およびビデオ機能を備えたIoTデバイスに広く影響。
緩和策
CVE-2026-39210からCVE-2026-39218および ffmpeg.org/security にリストされた関連修正に対応するFFmpegセキュリティパッチを適用。公開されたRCE PoCを考慮しインターネット向きRTSPエンドポイントを優先。信頼できないメディア入力のFFmpeg処理をサンドボックス内に制限。ffmpeg.org/securityを監視し、CVE番号を取得する残り12個の脆弱性を追跡。